“人工智能扩散出口管制框架”:美国打算怎么“全球限制”AI芯片?

全文7911字,阅读约需23分钟,帮我划重点

划重点

01美国白宫管理预算办公室发布“人工智能扩散出口管制框架”,旨在限制先进GPU和闭源AI模型权重出口。

02框架将受控GPU出口分为三组,第一组为盟友国家,第二组为不属于“AI 20俱乐部”的国家,第三组为全面禁运GPU芯片的国家。

03为此,美国公司需申请“通用经验证最终用户”资质,以确保美国本土始终拥有比世界其他地区更多的算力。

04然而,该框架在美国内部引起激烈争论,分为“控制”、“扩散”和“杠杆”三派。

05目前,该法规已生效,公众仍可事后对相关法规提出意见。

以上内容由腾讯混元大模型生成,仅供参考

2024年12月9日,美国白宫管理预算办公室的法规登记网页悄悄放上去一个联邦法规立项通知。项目的名字叫“人工智能扩散出口管制框架”(Export Control Framework for Artificial Intelligence Diffusion)。两天后,美国智库战略与国际研究中心(CSIS)瓦德瓦尼人工智能中心主任Gregory Allen在其关于1202半导体管制新规的报告里公开披露了这个情况。

从那以后,美国的媒体、智库、产业界关于该拟议法规的公开讨论逐渐增多,在过去两周达到了一个高峰。法规的文本虽然没公开,也没面向公众征求意见,但从相关讨论看,美国商务部已经提前把法规草案拿给了美国主要的人工智能公司、云厂商、行业协会和一些智库的头部专家。

综合美国主流媒体、智库、企业相关报道和讨论中出现的零散信息,这份传言会在本周五或下周出来的“人工智能扩散出口管制框架”,一定程度上颠覆了美国出口管制基于最终用户及最终用途的传统体系,创造了一个管控先进GPU和闭源AI模型权重出口的强制性全球许可制度,其文本长达200多页,内容非常复杂,核心包括以下方面:

一、受控GPU出口到全球数据中心的管制规则(按照国家和地区分成三组,有不同的管制水位)

(一)第一组盟友国家(AI 20俱乐部

关于范围目前有两种说法:比较多的是说有20个国家和地区,具体为:澳大利亚、比利时、加拿大、丹麦、芬兰、法国、德国、爱尔兰、意大利、日本、荷兰、新西兰、挪威、韩国、波兰、西班牙、瑞典、瑞士、英国和中国台湾地区。这二十个国家和地区在规则中的正式名称应该是“人工智能授权国家”((Artificial Intelligence Authorization Countries, AIA Countries),也有的分析将其称为“AI 20俱乐部”(AI 20 Club)。另一种说法是这些国家有18个。

总之都是美国视为最亲密、可信赖的盟友。企业在这些区域可以自由部署算力,总部设在这些区域的企业可以向美国政府申请通用许可,把受控GPU运送到全球大多数地方的数据中心。但有几个前提:这些企业需要遵守美国政府的安全要求(包括各类认证和半年一次的报告),其所部署的算力必须主要集中在这些国家或地区,在这些区域以外部署的算力不能超过全球部署总算力的 25%。上述企业也可以在“不是“AI 20俱乐部”、但也不是GPU禁运国(包括中国在内有24国)”的国家部署算力,但在单个国家部署的算力不能超过全球总量的7%。

(二)第二组:不属于“AI 20俱乐部”,也不是24个GPU禁运国的国家

这些国家的数量最为庞大,多达140多个,包括新加坡、墨西哥、马来西亚、阿联酋、以色列、沙特阿拉伯和印度等国。美国的北约盟国里有18个国家也“降级”到该组,包括:葡萄牙、立陶宛、卢森堡、捷克、冰岛、匈牙利、爱沙尼亚、斯洛文尼亚、斯洛伐克、克罗地亚、保加利亚、罗马尼亚、拉脱维亚、希腊、阿尔巴尼亚、土耳其、黑山和北马其顿

对在这些国家的企业,适用“低处理性能”(Low Processing Performance, LPP)许可豁免。具体来说,是估算其会使用的合理的总算力(以“总处理性能”Total Processing Performance/TPP计算),除以单块GPU的TPP,算出GPU是多少块,作为可以出口到这些国家的GPU总量上限/配额从2025年到2027年每个国家最多能拿到约 5 万块)。对全球所有GPU出口商和再出口商都要按照这个配额给该组国家供货。在配额额度内的GPU出口,不用向商务部申请许可,超了配额就不能再出口。

怎么堵受控芯片通过美国和盟友以外的国家转口或走私,一直是美国政府的一块心病。2022年1007规则只是卡住了受控GPU向中国大陆、香港和澳门的出口。但后来美国政府发现,很多中国公司从印尼、马来西亚、菲律宾、新加坡、越南、泰国等东南亚国家以及阿联酋、沙特等中东国家,以转口贸易和走私的方式继续获得受控芯片。

为解决该问题,美国商务部2023年1017规则把管制范围扩展到了所谓的D:1、D:4或D:5组国家,基于“地区稳定”理由施加了许可要求(澳门和D5推定拒绝;D:1、D:4境内公司推定批准,但是中国公司的海外子公司则推定拒绝),希望能堵住中国公司通过新加坡、阿联酋等第三国转口或走私用于数据中心的受控GPU。

能想出给第三国搞GPU出口配额这个损招,说明商务部上述补漏洞的努力效果很不好,也能看出他们现在焦虑到了什么程度。这种做法相当于直接命令英伟达:你在这些国家只能卖这么多GPU。英伟达最合理的选择当然是把有限的额度优先给那些它放心的大公司、非中国公司,而不是那些搞不清楚来路的小公司(可能认为里面有很多中国的空壳公司)。

但对如此大范围的国家群体设置特定商品的出口配额,非同寻常,很容易演变成外交争端。

1973年,全球粮食产量受恶劣天气条件和农业收供应紧张,美国作为小麦和大豆等全球主要粮食生产国,曾实施过“临时出口配额”限制小麦和大豆的出口总量,以确保有足够的粮食供应满足国内需求。冷战期间,美国也曾对铀、钢铁等资源设立出口上限,以遏制苏联获得战略资源。但总的来说,美国历史上干预国际贸易一般用关税和出口管制,很少用出口配额。

为防止物资经由“中立国”或“第三国”流入敌对国,采取对“中立国”或“第三国”实施出口配额,有据可查的第一次是在一战期间。为切断德国的补给,作为协约国领头羊的英国以战前的消费水平为基准,估算荷兰等“中立国”季度、年度的“正常”进口量,规定其对特定商品的进口量不得超过其战前平均水平,否则会被英国禁止出口超额部分。“配额制”有效减少了德国获得的物资供应,但也给“中立国”带来严重困难,严重扰乱了这些国家的国内工业和全球贸易,也引发了英国和这些国家的外交冲突。

对此,甲骨文执行副总裁Ken Glueck的评论一针见血:对他国单方面采取GPU出口配额制,可能会伤害美国的经济竞争力、国家安全和外交政策。美国看不起人家,不让进“AI 20俱乐部”,这些国家会组自己的俱乐部,转向使用中国产的GPU和中国的云,性能虽暂时差一些,但至少不会像美国一样歧视断供。这是在限制美国企业在这些国家的市场空间,同时给华为、壁仞等中国GPU厂商以及中国云服务商、AI公司提供打入这些市场千载难逢的机会。国会通过《芯片法案》想投入2800 亿美元来振兴美国芯片产业,拜登政府这一纸规则就让美国企业在全球芯片市场的份额缩减了80%,并把这个市场双手奉送给中国。

此外,配额制还有执行层面的严重问题:比如,你美国怎么确定其他国家所需要的算力总量是多少,万一算错了,给人家的配额少得离谱呢?假设美国政府给某国设置了一年25000片GPU的配额,而三家美国公司各自提出向该国出口 10000片GPU的许可申请,你政府怎么决定给谁多给谁少呢,这是不是给了你权力寻租的空间呢?

总体上,这个GPU出口管制配额制实在是太过了,影响的范围和可能引发的外国反弹会非常大。大胆推测,该部分规则很可能会在美国商界和政府的讨价还价中被剔除,或至少某种程度上弱化,让我们拭目以待。

(三)第三组:全面禁运GPU芯片的国家

这一组国家受到的限制最为严格,外部信息透露的数量是24个国家。从数量上看,几乎可以确定这是《美国出口管理条例》(EAR)规定的全部23个D:5组国家,再加上不属于D:5组的澳门。美国全面禁止向这些国家或地区的数据中心出口受控GPU。

D:5组国家全部是美国武器禁运国,包括中国、古巴、伊朗、朝鲜、叙利亚(美国全面制裁);俄罗斯、白俄(当前热点);缅甸、柬埔寨、委内瑞拉(涉军);阿富汗、中非、刚果(金)、塞浦路斯、厄立特里亚、海地、伊拉克、黎巴嫩、利比亚、索马里、南苏丹、苏丹、津巴布韦)。

二、“通用经验证最终用户”(Universal Validated End User, UVEU)

美国对上述第二组的“第三国”们设置GPU出口配额,进行了GPU总量限制,但这会连带影响到美国在这些国家的企业。特别是在这些国家运营大规模数据中心的Azure、AWS、甲骨文等美国云服务商,以及可能自建数据中心的OpenAI等人工智能巨头,可能因为受制于配额难以获得足够的GPU和算力,这显然是不利于美国云服务商的全球化发展的。

为解决该问题,“人工智能扩散出口管制框架”规定,上述美国公司可以向商务部申请拿到“通用经验证最终用户”(Universal Validated End User, UVEU)资质,从而可以不用申请许可就把GPU传送到自己在这些国家的数据中心,且这些GPU不计入该国的GPU配额。但也有条件:这些公司必须保证把至少 50% 的总算力留在美国本土,以确保美国本土始终拥有比世界其他地区更多的算力。

想要拿到UVEU资质,美国云服务商和AI公司得获得美国联邦政府云计算风险与授权管理项目(FedRAMP High)的认证,并遵守美国国家标准与技术研究所(NIST)的相关网络安全和数据安全标准。FedRAMP High 是一种保护联邦政府最敏感、但还没有达到机密级别的数据(类似中国的“重要数据”)的技术认证,核心内容是美国政府定义的一整套信息和物理安全要求。FedRAMP High要求每年对申请认证的数据中心进行第三方审计、特定的人员与访问控制,还包含数据主权要求(美国政府数据必须存储在美国境内)。FedRAMP High认证本来是一个非强制性的认证(类似于中国的非强制性国标),美国很多的商业数据中心也没申请过这个认证,但上述要求通过把它和能否获得足够GPU绑定,变相强制化了。

但这个UVEU也不是美国政府拍脑门子想出来的,而是在去年就已经有了基础制度。

UVEU规则建立在商务部去年9月份公布的数据中心“经验证最终用户”(Validated End User,VEU)项目基础上,该项目允许美国公司在海外的数据中心不用申请许可就可以接收受控GPU。条件是数据中心必须提供有关客户、业务活动、访问限制和网络安全的信息。

而该项目又是从阿联酋头部AI公司G42去年4月份和美国政府签署的国家安全协议中获取的灵感。因为有了该协议,G42才得以和微软合作、买英伟达的GPU。

G42对阿联酋的意义不亚于华为之于中国,是阿联酋建设“AI经济”、成为AI领先国家的希望。阿联酋国家安全顾问、总统的兄弟谢赫・塔努恩・本・扎耶德・阿勒纳哈扬是这家公司的董事。CEO彭晓是个华裔,出生在中国,在美国求学,先拿了美国国籍,后来为了在G42工作退了美国籍,拿了阿联酋的护照。

直到今年以前,G42和中国的联系还很密切,和华为、华大基因等都有合作。也因为这些合作,G42被美国国会和拜登政府盯上了,不停地私下或公开施压,威胁如果G42不跟中国划清界限,就不让英伟达卖给它GPU。微软今年4月投了这家公司15亿美元,并计划给它提供芯片及模型权重,但因为G42和中国的联系被美国政府叫停。

据媒体报道,美国政府内部对怎么处理微软和G42的合作是有分歧的,商务和贸易官员大体上觉得没啥大不了,但政府里的沙利文这些国家安全派觉得不行,这很大程度上是对阿联酋这个国家不放心,因为阿联酋这几年使劲深化和中国的关系,也明确表示没有兴趣在中美之间选边站。

前面提到过,美国商务部2023年1017规则对向阿联酋等中东国家出口GPU等受控物项施加了许可证要求,虽然是推定许可,但商务部也有权不给许可。对G42,商务部对英伟达和微软卖给G42 受控GPU和一些AI相关物项,就一直卡着不给许可,搞得微软总裁Brad Smith公开抱怨商务部的规则不够清晰明确。

一直到2024年9月中旬,媒体透露美国终于批准英伟达向G42出售尖端英伟达芯片。让美国网开一面的原因,是G42和美国政府签署了一项国家安全协议。协议内容没有公开,但透过媒体零星的报道还是能窥见一斑。

一是严格的供应链管理要求:G42已有的数据中心要剔除所有中国相关的硬件,即使这些硬件被拔掉并且没实际用,也要拿掉。新数据中心使用物理封锁,用西方国家独家制造的硬件从头开始改造,避免任何被中国通过后门攻击。

二是严格的网络安全保护措施:数据中心的计算部分使用军用级别的FIPS 140-2加密,和所有其他从安全摄像头到冷却的系统物理分离,以减少网络攻击者利用辅助硬件漏洞蠕虫进入服务器的可能。

三是严格的人员管理和控制:客户、员工和访客要接受广泛的筛查,中国公民不得在数据中心工作

四是算力监测:G42需要实时监控计算水平的波动(往往意味着有中国公司在用其数据中心进行模型训练)等异常情况。

五是外部红队测试:G42雇佣了美国国防部的承包商来进行“红队测试”,检查数据中心的防御情况,堵上一切中国可以利用的网络安全漏洞。

两周后,BIS修订了 EAR,推出了一项单独的“经验证最终用户规则”(Validated End User,VEU),在现有的适用于印度、中国的VEU (一般 VEU 授权)基础上,新增了一个“数据中心 VEU 授权”。核心就是全球各地的数据中心运营商可以跟BIS申请进入这类数据中心 VEU的名单,但需要满足一套美国商务部、国防部、能源部和国务院共同制定的严格标准。

满足了这些标准的数据中心,BIS会在 EAR 中按名称和位置进行记录,届时美国公司向这些数据中心出口管制的GPU,就相当于获得了一个通用许可,不用再一项项单独向BIS申请许可。仔细看这些数据中心VEU的要求,跟美国把和G42的国家安全协议里的安全控制措施简直一一样。美国政府把这份国家安全协议里的核心内容,以BIS规则的形式复制到了所有禁运国家以外的数据中心。

我理解,外界透露的“通用经验证最终用户”(UVEU)制度属于上述数据中心UVE的升级版,其基本原理是一致的,即这些数据中心不能被中国用来训练AI大模型。

三、对闭源人工智能模型权重的出口管制

在训练AI模型时,系统会根据输入的数据不断调整模型内部的“权重”(Weights),这些权重是一组复杂的数学参数,用来告诉模型“如何理解数据”和“如何作出决策”。打个比方来说,AI模型本身就像蛋糕,用户可以“吃”到(用它生成内容),权重则是制作蛋糕的“独家配方”,包含了原料比例、加工方法等核心信息。如果配方公开(开源),任何人都可以模仿制作。

我去年曾经写过“美国国会立法对人工智能大模型进行出口管制”一文,应该是中文互联网第一个深入讨论增强海外关键出口限制的国家框架法”(Enforce Act),及其史无前例的AI模型出口管制的。在那篇文章里,我的判断是,在美国关于开源的相关讨论也越来越不支持限制开源模型,因此美国可能以计算能力的特定阈值划线,对“性能很强”的大模型进行出口管制,对开源模型则会大体会放开,或只要求履行一定尽调义务。

根据目前的信息,“AI扩散出口管制框架”关于该部分的规则符合上述判断,没有管制开源模型权重,以及不如现有开源模型强大的闭源模型权重。但如果一家在上述第二组国家的 AI 公司想要针对特定目的对通用开源权重模型进行微调,且该过程耗用大量算力,需要向美国政府申请许可

对闭源模型权重,该规则将禁止美国AI公司在中国和俄罗斯等上述第三组国家托管这些权重。在第二组国家,可以托管这些权重,但必须遵守相关的安全标准。如果一家公司获得了“通用经验证最终用户”(UVEU)的认证,则不受此限制。

现有的信息没有提及如何判断哪些是需要管制的“性能很强”的大模型。判断可能以模型训练所需的浮点运算数(FLOPs)划线,确定一个阈值。因为FLOPs实际是模型训练做了多少次加法和/或乘法运算(一次加法和一次乘法合计一次FLOP)。FLOPs的数量如果很大,说明模型规模很大,能力和带来的风险也就更大。

事实上,美国过去多个涉及AI的拟议规则都在采取以FLOPs划线的思路。

去年9月,美国商务部为执行拜登《安全、可靠和值得信赖的人工智能开发和使用》第14110号行政令第4.2(a)节,公布了“建立先进人工智能模型和计算集群开发的报告要求”拟议规则,其中触发向BIS报告义务的标准是:训练超强AI模型(需要执行超过10^26FLOPs),或者拥有一组机器组成的超快、超强的计算机集群,且这些机器通过速度超过300 Gbit/s的网络连接在一起,计算能力非常强大,理论上每秒可以进行超过10^20FLOPs

美国财政部去年10月发布、今年1月2日已生效的对华投资审查最终规则,把禁止美国投资的中国AI模型阈值确定为:训练所用计算量的阈值超过了10^25FLOPs主要使用生物序列数据训练的,计算量阈值超过了10^24FLOPs

我推测,“AI扩散出口管制框架”对闭源AI模型权重的管制水位,很可能会和财政部的对华投资审查最终规则拉齐,即一般数据训练的模型10^25次 FLOPs,生物序列数据训练的10^24次FLOPs。达到该标准的美国闭源AI模型应该有Open AI的GPT-4(10^25 FLOPs) 或后续版本、Google DeepMind 的 Gemini 1(10^25 FLOPs)、 Anthropic的Claude 3 或后续版本。

根据美国知名的AI研究机构EPOCH AI的报告,截至 2024年4 月,中国还没有已知计算能力超过 10^25 FLOPs 的 AI 模型,有 5 个中国 AI 模型的计算能力超过 10^24 FLOPs(包括阿里巴巴的 Qwen-72B、XVERSE Technology 的 XVERSE-65B、智谱 AI 的 Chat GLM 3、虎博科技的 Tigerbot-70B,以及百度的 ERNIE 3.0 TITAN),还有 14 个中国 AI 模型的计算能力超过10^23 FLOPs,其中包括DeepSeek 的 DeepSeek Coder 33B 和 DeepSeek LLM 67B。

“AI扩散出口管制框架”在美国内部引起了激烈争论。卡耐基研究院把相关的不同观点精辟地总结为三派:

一是“控制”(control)派,以一些国会鹰派议员、国安官员、鼓动“民主AI打败专制AI”叙事的AI头部企业为代表。他们认为,让前沿AI技术扩散到非盟友国家,对美国带来的国家安全风险远高于扩大AI出口的获利。例如,众议院中美战略竞争特别委员会主席穆伦纳尔和首席成员克里希纳穆蒂致信商务部长雷蒙多,敦促尽快出台该法规,还建议对所有有中国军事基地或情报站点的外国禁运GPU,禁止有华为云基础设施的国家都访问美国的闭源AI模型权重。特朗普第一任期时的副国家安全顾问博明和Anthropic CEO、创始人Dario Amodei在华尔街日报发文力挺对华加强AI出口管制。Open AI的CEO Sam Altman也支持出台该法规。

二是“扩散”(diffusion)派,以甲骨文等美国云厂商、代表云服务和信息通信技术行业的协会等为代表,认为应当努力让美国AI技术在海外市场尽快落地生根,只有美国AI技术向全球快速渗透,才能不被中国抢占市场空间,才是维护美国国家安全的根本之道。目前AI出口管制法规的思路只会把美国云厂和AI公司的手脚绑住,让中国AI和云厂商抢占海外市场。对此,Oracle高级副总裁Ken Glueck去年12月19日及今年1月7日的两篇炮轰商务部的文章,是很好的代表。这一派在国会也不乏盟友,例如参议院商务、科学和运输委员会主席Ted Cruz和高级成员Maria Cantwell上月即致信商务部长雷蒙多,对该法规严重阻碍美国科技产品海外销售,且没给国会和企业反馈意见的机会表示关切。

三是“杠杆”(leverage)派。该立场处于两种极端思路之间,主张将美国AI出口当作外交谈判的工具,通过对AI技术的出口管制换取他国在地缘政治或技术层面的让步,如要求外国支持美国主导的国际AI安全标准,或在外交上配合美国。

目前,该法规显然已经到了最后阶段。1月7日下午,英伟达总法律顾问Timothy Teter跟管理和预算办公室的官员开了EO 12866 会议(重大联邦法规发布前听取利益相关方意见,进行成本效益分析、政策一致性、跨机构协调审查的会议,因前总统克林顿第12866 号行政令设立得名)。早前的12月20日,美国信息产业理事会、Alston & Bird律所也分别代表行业与商务部、管理和预算办公室开了EO 12866 会议。两次会上,英伟达和相关游说的行业机构、律所应该分别就草案表达了意见。

美国商务部决定绕开公开征求意见程序,以“临时最终规则”(interim final rule)形式出台该法规。这也意味着,该法规将在刊登于《联邦纪事》之日起60天内迅速生效。公众虽然仍可以事后对相关法规提出意见,但法规已经生效了。美国联邦法规制定实践中,“临时最终规则”不新鲜。基于《行政程序法》下的“正当理由”例外(good cause exception),联邦各部门可以采取这种形式制定法规,但合理的例外一般是公共卫生突发事件、国家安全威胁、经济或财政危机等特殊情况,这部法规显然没有这么特殊和紧急。

对此,商界普遍呼吁拜登政府不要“强行上线”该法规,而是走正常的征求公众意见程序,特朗普第一任期时的国家安全顾问Robert O'Brien公开呼吁:“请把这些重大问题留给特朗普团队来处理。他们在对华强硬和贸易方面的表现都更胜一筹。”但看拜登政府这架势,是一定要在交班川普前把这个规则放出来了。

文章仅做学术探讨和市场研究交流使用,相关判断不代表任何公司或机构立场,也不构成任何投资建议。转载请注明来源。文中提到的媒体、智库、产业界评论、文章等见知识星球。